电力科技 电力企业信息系统安全防护措施探讨 电力企业信息系统安全防护措施探讨 李维维 李晓雄 (国网江西峡江县供电有限责任公司,江西 峡江 331400) 【摘 要】随着我国社会经济与科学技术的迅猛发展,电力信息系统获得了迅速的发展,为此,电力信息系统的安全问题受到了社会各领域的高度重视与关注。正基于此,梳理电力信息系统的安全风险,发现信息系统中的安全隐患,并制定应对措施,维护系统安全运行,成为电力信息的重要课题。 【关键词】电力企业;信息安全;防护措施 在电网信息化建设过程中,信息安全防护需要同步规划、建设与投入运行,保障电网智能终端不被恶意侵入和控制,保障电网关键业务数据和信息不被窃取和篡改,保障智能电网安全稳定运行。 1 电力企业面临的信息安全风险 (1)电力通信网络威胁。不同的通信方式和网络协议的使用,要求通信网络需要具备兼容性和开放性,因此网络结构更加复杂,安全防护更加困难,同时信息在网络传输过程中存在被非法窃听、篡改和破坏的风险。 (2)业务系统实时交互威胁。随着信息系统规模的不断扩大,信息系统之间、信息系统与外界的信息交互越来越活跃,大量的信息交互会对网络产生一定的影响,并且信息交互的同时存在着安全风险,信息可能泄露、被篡改和破坏。 (3)智能终端威胁。随着各种各样终端设备的大量接入,智能用户端种类、数量繁多,终端存在信息泄露、非法破坏的风险,如虚假的终端设备非正常接入电网,控制信息系统或者窃取信息数据;移动终端等存在个人信息泄露和反向被控制的风险;非法终端接入等。 2 电力企业信息安全防护措施 2.1 防护目标与策略 (1)防护目标。增强信息系统主动防护能力,保障电网安全稳定运行,为国家电网公司“三集五大”战略发展和坚强智能电网建设提供有力支撑;强化安全统一管控能力,提升公司信息安全的自主可控能力,防止网络被恶意渗透或窃听,防止关键业务信息系统数据被窃取或篡改,防止智能设备和终端被恶意控制。 (2)防护策略。管理信息遵循“分区分域、安全接入、动态感知、精益管理、全面防护”的安全策略,从以基础防护为主的等级保护纵深防御体系发展至以智能防护为主的主动防御体系。 2.2 智能电网安全防护关键技术 2.2.1 物理安全防护措施 物理安全主要是指信息系统正常工作所必需的网络设备和存储设备以及传感器等各种硬件设备的安全。电网物理安全是电网信息系统安全的重要内容,其主要任务是保证各硬件部分的安全。保护电网物理安全主要是防止由于人为干扰、自然破坏以及设备自身等异常情况对外部系统物理特性造成影响,进而影响系统服务。 (1)管理上的防护措施:包括设施的选择、建设和管理,员工的管控、培训,突发事件的响应和处理步骤等。 (2)技术上的防护措施:包括访问控制、入侵检测、警报装置、监视装置、电力保障、火灾检测和排除以及备份和恢复等。 (3)物理上的防护措施:通过栅栏、大门、护柱、门锁、照明等设施完善物理安全的配置,提供有效的物理安全防护保障。 2.2.2 数据安全防护措施 数据安全是指数据本身和数据信息的软、硬件的安全,即数据不会因外部因素干扰而变化,信息服务不中断、不改变。智能电网中的数据安全具有2 层含义:其一,数据本身的安全,即采用加密技术保证数据的机密性、完整性、可用性等;其二,信息数据防护的安全,即采用不同级别的存储方式对数据进行备份,如通过磁盘阵列、数据备份以及异地容灾等手段保证数据的安全。 2.2.3 网络安全防护措施 网络安全指网络数据和网络软、硬件的安全,即不会因外部因素干扰而导致网络服务中断。在传统电力系统基础上,智能电网应具有较高的可靠性,防护原则为:安全分区、网络专用、横向隔离、纵向认证。 (1)安全分区:根据系统安全防护分区的原则,通信网络可分为四个安全区: 实时控制区、非控制生产区、生产管理区和管理信息区。 (2)网络专用:在智能电网数据传输中使用专用网络通道,从物理层实现与其他数据网的安全隔离。 (3)横向隔离:逻辑隔离的实时子网与实时控制区相连,非实时子网与非实时控制区连接。生产控制大区内部的安全区之间应当使用具有访问控制功能的设备、防火墙实现逻辑隔离。同时在网络边界要采用电力专用纵向加密认证装置或者加密认证网关及相应设施。 (4)纵向认证:构建智能电网数字证书系统,生产控制大区中的重要业务系统采用认证加密机制。 2.2.4 系统安全防护措施 做好系统安全保障,设置合适且严密的安全防护机制,重点关注重要系统的文件保护措施、访问控制策略和用户认证方式,加强对应用系统的安全防护,进一步提高智能电网信息系统的安全防护水平。 (1)文件保护机制:对文件进行加密和加壳处理,加密是通过对称加密和非对称加密的方式,防止数据被窥探、窃取、篡改;加壳全称为可执行程序资源压缩,加壳的文件或程序只在执行时在内存中进行还原,可以有效地防止数据被非法修改。 (2)访问控制机制:防止对数据资源的非授权访问,是系统安全保护机制的关键。主要通过对合法用户设置不同的权限、对权限(账号)的授权进行监控、验证访问权限以及最小授权等手段实现对智能电网信息安全风险的可接受控制。 (3)用户认证机制:确定用户的合法身份,是获取对应权限的关键。智能电网中的用户认证可通过用户密码、数字认证等方式,检查合法用户的资源访问权限,完成用户的统一性检查。 2.3 智能电网基本安全防护系统选型 (1)防火墙。防火墙是保障智能电网安全稳定运行的第一道防线,适用于网络系统的边界,属于网络边界的安全保护设备。通过访问控制、流量控制、数据包过滤等安全策略,有效地保护智能电网内部网络不受侵害。防火墙的类型主要包括网络层防火墙、应用层防火墙、数据库防火墙,根据不同信息系统的安全防护需求和具体的业务数据流类型,选择不同类型的防火墙实现内部网络和外部网络、专用网和公共网之间的逻辑隔离。 (2)入侵检测系统。入侵检测系统通过对网络行为、安全日志和数据的收集分析,对网络和系统中违反安全策略的行为进行监控和检测,实现对网络内部和外部攻击的实时防护,是防护墙之后的第二道安全闸门与合理补充。基于特征检测和异常检测等技术手段,对业务系统进行安全审计、监视、进攻识别和响应,提高了信息安全的完整性。 (3)脆弱性扫描系统。脆弱性扫描系统利用对潜在的不安全因素进行比对,实现在系统故障之前进行修复的目的。脆弱性扫描系统可以分为网络扫描和主机扫描;网络扫描更多的是面向目标网络或系统的体系结构分析;主机扫描则针对本地特定的操作系统,可针对不同的网络结构和风险环境选择对应的设备。 (4)防病毒系统。随着近年来网络技术的飞速发展和网络范围的迅速扩大,计算机病毒也呈现出了新的特征。计算机病毒防护技术已经从原来的单机防范技术演变为病毒预防、病毒检测、病毒清除的防病毒系统。因此,在智能电网建设中,要结合其他安全防护措施,重点提升防范蠕虫病毒、木马和恶意代码等能力,针对病毒入侵对象的不同,制定系统防病毒、终端防病毒、服务器防病毒等措施,构建全面、立体的信息系统病毒防护体系。 3 结语 电力企业的安全信息系统是电力企业信息化管理的重要内容之一,有效预防信息系统面临的风险,是保障电力企业现代化管理的有力手段。随着通信技术的不断发展,以及集成化和自动化水平的提高,电网将更加开放和复杂,在给企业带来方便的同时,也带来了新的挑战。因此,我们应该重视对互联网信息的保护,防御病毒的侵害,为电力企业的安全信息系统的正常运行营造起安全的信息网络环境。 参考文献: [1]吴娟,张文.企业信息网络安全管理架构部署探析[J].现代商贸工业,2008(03). [2]李晨辉,翟霄飞,李志超.对物理隔离技术安全隐患的分析[J].河南科技,2011(05). 2015.09︱299︱